Дыра в защите Outlook Express позволяет злоумышленникам читать чужие письма

Найдена новая уязвимость в защите популярной программы Outlook Express (входит в стандартный дистрибутив Microsoft Windows 95/98/ME/2000), которая позволяет злоумышленнику перехватывать почтовые сообщения, посланные пользователем, использующим этот почтовый агент.

Используя эту дыру, злоумышленник может мошенническим путем записать в адресную книгу Outlook Express на компьютере жертвы свой e-mail и впоследствии похищать все сообщения, отсылаемые пользователем по истинным адресам.

Подобное возможно благодаря следующей фитче Outlook Express, активной по умолчанию: e-mail адрес добавляется в адресную книгу автоматически, когда пользователь отвечает (Reply) на сообщение.
Создавая сообщение с тщательно продуманным заголовком и искусно сфальсифицированным обратным адресом, злоумышленник может использовать данную функцию Outlook Express, чтобы добавить свой адрес в адресную книгу жертвы.

Злоумышленник формирует в сообщении поля «From» и «Reply To», указывая в них, вместо имени, адрес человека, которому жертва доверяет, но при этом определяет обратный адрес, как собственный. Стоит пользователю, введенному в заблуждение, ответить на это письмо, как в адресную книгу жертвы будет добавлен новый адрес: с именем — адресом друга и соответствующим этому имени адресом, принадлежащим злоумышленнику.

Впоследствии, при отправлении жертвой писем этому другу (в случае использования напрямую электронного адреса друга, а не его имени из адресной книги), Outlook Express будет перенаправлять все сообщения на адрес злоумышленника.

Ошибка в программе была обнаружена в декабре 2000 года российской некоммерческой организацией из Нижнего Новгорода под названием Security.NNOV, которая сообщила о своей находке Microsoft в конце марта 2001.

Сотрудник компании Security.NNOV под ником «3APA3A» сказал в своем e-mail интервью Newsbytes, что он не стал бы присваивать этому недостатку высокую степень риска: «Эта уязвимость находится в ПО, предназначенном для домашнего пользователя, поэтому потребуются некоторые приемы социального инжиниринга, использование которых позволит получить доступ к электронной почте.»

Представитель Microsoft, Jim Desler в свою очередь сказал, что компания рассматривает данный случай, не как уязвимость в защите продукта, а как социально-техническую проблему. «Мы согласны, что описанный сценарий возможен, но все же эксплуатация этой проблемы была бы чрезвычайно трудна», — сказал Desler. Он также добавил, что тем не менее Microsoft вскоре выпустит соответствующую «заплатку», устраняющую этот «социально-технический вопрос», правда не уточнив, когда это произойдет.

Пока же пользователь должен защитить себя сам, отключив в Outlook Express в меню Options возможность автоматической записи в адресную книгу новых e-mail-ов.

Следует добавить, что, по словам «3APA3Ы» из Security.NNOV, описанной проблемы не существует в Microsoft Outlook 98 и Outlook 2000.